imágenes falsas
Los piratas informáticos están utilizando software de código abierto que es popular entre los tramposos de videojuegos para permitir que su malware basado en Windows eluda las restricciones que Microsoft implementó para evitar que ocurran tales infecciones.
El software viene en forma de dos herramientas de software que están disponibles en GitHub. Los tramposos los usan para firmar digitalmente controladores de sistemas maliciosos para que puedan modificar los videojuegos de manera que le den al jugador una ventaja injusta. Los controladores superan el considerable obstáculo requerido para que el código de trucos se ejecute dentro del kernel de Windows, la capa fortificada del sistema operativo reservada para las funciones más críticas y sensibles.
Investigadores del equipo de seguridad Talos de Cisco dijo el martes
Una nueva forma de eludir las restricciones de los controladores de Windows
“Durante nuestra investigación, identificamos actores de amenazas que aprovechan HookSignTool y FuckCertVerifyTimeValidity, herramientas de falsificación de marcas de tiempo de firmas que han estado disponibles públicamente desde 2019 y 2018 respectivamente, para implementar estos controladores maliciosos”, escribieron los investigadores. “Si bien han ganado popularidad dentro de la comunidad de desarrollo de trucos de juegos, hemos observado el uso de estas herramientas en controladores de Windows maliciosos que no están relacionados con los trucos de juegos”.
Con el debut de Windows Vista, Microsoft promulgó nuevas restricciones estrictas sobre la carga de controladores de sistema que pueden ejecutarse en modo kernel. Los controladores son fundamentales para que los dispositivos funcionen con software antivirus, impresoras y otros tipos de software y periféricos, pero durante mucho tiempo han sido una vía conveniente para que los piratas informáticos ejecuten malware en modo kernel. Estas incursiones están disponibles para los piratas informáticos después de la explotación, es decir, una vez que ya han obtenido privilegios administrativos en una máquina objetivo.
Si bien los atacantes que obtienen dichos privilegios pueden robar contraseñas y tomarse otras libertades, su malware generalmente debe ejecutarse en el kernel de Windows para realizar una gran cantidad de tareas más avanzadas. Según la política implementada con Vista, todos estos controladores pueden cargarse solo después de que Microsoft los haya aprobado previamente y luego los haya firmado digitalmente una autoridad certificadora confiable para verificar que sean seguros.
Los desarrolladores de malware con privilegios de administrador ya tenían una forma bien conocida de eludir fácilmente las restricciones del controlador. La técnica se conoce como “traiga su propio conductor vulnerable”. Funciona cargando un controlador de terceros disponible públicamente que ya ha sido firmado y luego se descubre que contiene una vulnerabilidad que permite la toma de control del sistema. Los piratas informáticos instalan el controlador posterior al exploit y luego explotan la vulnerabilidad del controlador para inyectar su malware en el kernel de Windows.
Aunque la técnica existe desde hace más de una década, Microsoft aún tiene que idear defensas que funcionen y aún tiene que proporcionar una guía práctica para mitigar la amenaza, a pesar de que uno de sus ejecutivos elogió públicamente la eficacia de Windows para defenderse de ella.
La técnica que Talos ha descubierto representa una nueva forma de eludir las restricciones de los controladores de Windows. Se aprovecha de una laguna que ha existido desde el inicio de la política de que los controladores antiguos se conservan incluso cuando Microsoft no los ha revisado para garantizar su seguridad. La excepción, diseñada para garantizar que el software anterior todavía se pudiera ejecutar en sistemas Windows, se activa cuando una autoridad de certificación de confianza de Windows firma un controlador antes del 29 de julio de 2015.
“Si un controlador se firma con éxito de esta manera, no se evitará que se instale e inicie como un servicio”, explicó la publicación de Talos del martes. “Como resultado, se han desarrollado múltiples herramientas de código abierto para explotar esta laguna. Esta es una técnica conocida, aunque a menudo se pasa por alto a pesar de que representa una grave amenaza para los sistemas Windows y es relativamente fácil de realizar debido en parte a que las herramientas están disponibles públicamente”.